IDG Now! » Segurança » Bugs e Falhas de Software

Bug no Access pode ser maior que o divulgado pela MS, diz Symantec

Por IDG News Service/Reino Unido

Publicada em 14 de julho de 2008 às 11h20

Atualizada em 14 de julho de 2008 às 11h25

Londres - Bug explora o ActiveX, especialmente para os usuários que configuram o Internet Explorer para executar o controle automaticamente.

Um conjunto de ferramentas usado para atacar computadores acaba de ser atualizado para aproveitar uma vulnerabilidade de segurança não reparada no Microsoft Office Access, que poderia significar que os ataques serão intensificados, de acordo com a Symantec.

O kit de ferramentas Neosploit é um dos vários na internet que podem ser usados por hackers com menos conhecimentos técnicos para comprometer máquinas. A Symantec disse que tem detectado em sua rede de sensores da internet que o Neosploit pode aproveitar da vulnerabilidade revelada no início dessa semana no programa de base de dados Access.

“Uma análise aprofundada deste comprometimento revelou que o ataque tem sido adicionado a uma variante do kit de ataques Neosploit e ele provavelmente irá atingir um número maior de vítimas”, de acordo com o que a Symantec escreveu no site ThreatCon.

No último dia 7 de julho, a Microsoft alertou para a falha, um dia antes do anúncio mensal de segurança, que corrigiu falhas no Windows e SQL Server, mas nada foi dito sobre o Access. A vulnerabilidade está dentro do Snapshot Viewer ActiveX Control, um visualizador para relatórios do Access que não exige executar o software.

A vulnerabilidade representa um perigo especial, pois o controle ActiveX é assinado digitalmente pela Microsoft. Com isso, as pessoas que têm o Internet Explorer configurado para acreditar nos controles Activex para que o execute automaticamente se depararam com uma página da internet.

Jeremy Kirk, editor do IDG News Service, do Reino Unido

1 2